Google: снижение доходности программ-вымогателей меняет тактику атак

20 марта, 2026, 14:00

Доходность атак с использованием программ-вымогателей снижается: компании реже платят выкуп, а средний размер требований, по данным исследователей, сократился примерно до $1,34 млн против $2 млн годом ранее. В ответ злоумышленники меняют подход — чаще крадут данные вместо шифрования, переходят на массовые атаки и активнее используют легитимные инструменты. Отчет Google Threat Intelligence Group показывает, как трансформируются такие атаки и какие риски это создает для организаций.

SecPost.ru

Общая картина: программы-вымогатели под давлением

Специалисты Google Threat Intelligence Group в отчете «Ransomware Under Pressure: Tactics, Techniques, and Procedures in a Shifting Threat Landscape», опубликованном 17 марта 2026 г., отмечают: программы-вымогатели (ransomware) остаются массовой угрозой, но их эффективность снижается. Это связано с ростом уровня защиты и тем, что компании быстрее восстанавливаются после атак — по оценкам, уже около половины пострадавших организаций способны восстановить системы из резервных копий.

В исследовании также подчеркивается снижение доходности: уменьшается доля выплат и средний размер выкупа. По оценкам аналитиков, средний размер требований сократился примерно до $1,34 млн в 2025 году против $2 млн годом ранее. В результате модель вымогательства теряет стабильность, а злоумышленники вынуждены менять тактику и искать новые способы монетизации.

Трансформация экосистемы

Экосистема программ-вымогателей, сформированная вокруг модели RaaS (ransomware-as-a-service), стала более нестабильной и раздробленной, отмечается в отчете. На нее влияют действия правоохранителей и конфликты между самими злоумышленниками, из-за чего ряд крупных RaaS-групп ослаб или прекратил активность.

При этом активность не снижается: новые группы занимают их место, а число публикаций на сайтах утечек (DLS, data leak sites) в 2025 году выросло почти на 50%. Однако эти данные не всегда отражают реальный масштаб атак — часть заявлений может быть преувеличена или дублироваться.

Продолжение ниже

Рост числа публикаций на сайтах утечек и количества таких площадок, 2020–2025 гг. Источник: Google Threat Intelligence Group

Смена целей: смещение к малому бизнесу

В отчете отмечается, что злоумышленники меняют выбор целей и чаще атакуют небольшие организации. Крупные компании реже платят выкуп и лучше защищены, что снижает интерес к ним. Анализ публикаций на сайтах утечек показывает рост доли жертв с численностью менее 200 сотрудников. Это говорит о переходе к более массовым атакам на менее защищенные компании, где проще добиться результата.

Доля компаний-жертв с численностью менее 200 сотрудников среди публикаций на сайтах утечек. Источник: Google Threat Intelligence Group

Кража данных как основной инструмент давления

Ключевой сдвиг — переход от шифрования к краже данных. В 2025 году в 77% атак фиксировалась кража и вывод данных из инфраструктуры жертвы (эксфильтрация) — против 57% годом ранее.

Рынок киберстрахования в РФ увеличился на 20-30% по итогам 2025 года и продолжает свой рост

Злоумышленники все чаще используют угрозу публикации информации как основной рычаг давления, иногда даже без шифрования систем. Для вывода данных применяются легитимные инструменты и облачные сервисы, что усложняет обнаружение.

Смена инструментов: маскировка под нормальную активность

Злоумышленники все чаще используют PowerShell, встроенные утилиты и стандартные протоколы администрирования, маскируя активность под легитимную работу.

Например, использование Cobalt Strike сократилось до 2% атак, а Mimikatz — до ~18%. Такой подход позволяет маскировать действия под обычное администрирование и снижает вероятность обнаружения.

Начальный доступ: уязвимости и учетные данные

Основным способом проникновения остается эксплуатация уязвимостей — на нее приходится около трети атак, чаще всего в VPN и сетевых устройствах. Помимо этого широко применяются украденные учетные данные — около 21% случаев. Также используются перебор паролей и атаки через подрядчиков, что позволяет получить доступ к инфраструктуре косвенно.

Основные векторы первоначального доступа в атаках программ-вымогателей. Источник: Google Threat Intelligence Group

Закрепление и перемещение внутри сети

После проникновения злоумышленники закрепляются в системе через легитимные механизмы — используют украденные учетные записи, а также создают или повышают привилегии учетных записей внутри инфраструктуры. Для перемещения по сети чаще всего применяется Remote Desktop Protocol (RDP) — примерно в 85% атак. Также используются стандартные средства администрирования, что позволяет действовать незаметно и быстро расширять доступ внутри инфраструктуры.

Внутренняя разведка: поиск данных

После закрепления злоумышленники изучают инфраструктуру и ищут ценные данные. Для этого используются PowerShell и встроенные утилиты, а также сетевые сканеры — примерно в половине атак. Цель — определить ключевые системы, учетные записи и данные для кражи. Отдельное внимание уделяется инфраструктуре виртуализации и чувствительной информации, которая может усилить давление на жертву.

Удар по инфраструктуре: фокус на виртуализации

Атаки все чаще направлены на виртуальную инфраструктуру, где можно быстро нанести максимальный ущерб. В 2025 году такие системы затрагивались примерно в 43% инцидентов против 29% годом ранее. Злоумышленники получают доступ к гипервизорам и системам управления, после чего могут одновременно воздействовать на множество сервисов. В ряде случаев развертывание вымогателя на таких системах частично автоматизируется.

Развертывание вымогателя и разрушение защиты

На финальной стадии злоумышленники разворачивают вымогатель и параллельно снижают возможности восстановления. Для этого используются скрипты, задачи планировщика и групповые политики.

Перед шифрованием часто удаляются резервные копии, отключаются средства защиты и останавливаются виртуальные машины. В отдельных случаях вместо вредоносного ПО используется встроенное шифрование, например BitLocker.

Инструменты: легитимное ПО вместо вредоносов

Злоумышленники активно используют обычные утилиты и легитимное ПО, что усложняет выявление атак. Например, Rclone и WinRAR применяются примерно в 23% случаев, что связано с ростом кражи данных.

При этом использование специализированных инструментов и RMM-решений (систем удаленного администрирования) постепенно снижается. В результате атаки все чаще выглядят как обычная работа администратора.

Атаки становятся более гибкими

Снижение доходности не останавливает злоумышленников, а заставляет их адаптироваться. Они меняют цели, увеличивают число атак и чаще используют кражу данных вместо шифрования. Возможны и новые способы монетизации — от перепродажи доступа к инфраструктуре до использования взломанных систем в последующих атаках.

Как меняются требования к защите

Поскольку атаки все чаще связаны не только с шифрованием, но и с кражей данных, то ключевыми остаются контроль исходящего трафика и выявление нетипичной активности. Критичными остаются защита учетных записей, безопасность VPN-доступа и корректно настроенное резервное копирование. Во многих случаях именно возможность быстро восстановиться позволяет избежать выплаты выкупа.

Отчет «Ransomware Under Pressure: Tactics, Techniques, and Procedures in a Shifting Threat Landscape» доступен по ссылке.

Словарь: Программы-вымогатели (Ransomware), RDP (Remote Desktop Protocol), RaaS (Ransomware-as-a-Service), Threat Intelligence
Теги:
Аналитика Угрозы

Читайте также